Die deutsche Bundesregierung erachtet die Sicherheit der IKT-Systeme des Kanzleramts als Staatsgeheimnis. Sie weigert sich daher, wesentliche Informationen zur IT-Sicherheit der Regierungszentrale preiszugeben. Die Regierung begründet diesen außergewöhnlichen Schritt in ihrer jetzt veröffentlichten Antwort auf eine Anfrage der AfD-Bundestagsfraktion so: Sämtliche Auskunft zu dem Thema berührten derart schutzbedürftige Geheimhaltungsinteressen, dass das Staatswohl dem parlamentarischen Auskunftsrecht überwiege.
Selbst die Einstufung der Information als Verschlusssache (VS) und deren Hinterlegung bei der Geheimschutzstelle des Bundestages wäre zu riskant, sagt das Kanzleramt. Denn auch ein geringfügiges Risiko des Bekanntwerdens könne unter keinen Umständen hingenommen werden.
Die IT-Sicherheitslage sei "angespannt bis kritisch". Staatliche Akteure und andere Kriminelle professionalisierten ihre Arbeitsweise und agierten zunehmend aggressiv. Die Situation habe sich durch den russischen Angriffskrieg auf die Ukraine und die daraus resultierenden vermehrten Angriffe auf Verbündete wie Deutschland weiter verschärft. Die stetig wachsende Komplexität der IT-Landschaft und die zunehmende Vernetzung erweiterten ferner die Angriffsflächen.
Die Veröffentlichung von Details über Resilienz und Schutzmaßnahmen der Bundes-IT würde diese erheblich gefährden, schreibt das Kanzleramt. Angaben etwa zur Anzahl, zum Ort und zur Ausstattung von Rechenzentren, den Ergebnissen technischer Sicherheitsüberprüfungen und der Entwicklung der IT-Sicherheitsstellen könnten potenziellen Übeltätern konkrete Hinweise auf die im Kanzleramt eingesetzten Schutzmaßnahmen liefern. Insbesondere in Zusammenschau mit anderen Regierungsantworten und unter Nutzung von Techniken KI wären Angreifer in der Lage, Schwachstellen gezielt auszumachen und daraus konkrete Angriffsvektoren abzuleiten.
Eine solche Preisgabe der Verteidigungsstrategie würde die Lage in den Dimensionen Bedrohung, Angriffsfläche, Gefährdung und Schadwirkung dramatisch verschlechtern, heißt es in der Nicht-Antwort. Dies könnte "unmittelbar die Gewährleistung der Handlungsfähigkeit der Bundesregierung gefährden".
Das Kanzleramt macht lediglich einzelne operationelle Angaben: Alle einschlägigen Rechenzentren verfügten über Notstromversorgung. Die Funktionsfähigkeit des Kanzleramtes werde durch redundante Systeme gesichert.
Kritik des Bundesrechnungshofes werde bei einem kontinuierlichen Verbesserungsprozess berücksichtigt. Derzeit seien keine Stellen im IT-Sicherheitsbereich unbesetzt. Generell sieht die Regierung die Notwendigkeit, die IT-Systeme des Kanzleramtes besonders zu schützen, was sich im Entwurf zur Umsetzung der NIS-2-Richtlinie niedergeschlagen habe.
Security by Obscurity (Sicherheit durch Verschleierung) funktioniert Experten zufolge nicht als primäre oder alleinige Sicherheitsstrategie, da sie Angreifer allenfalls kurzzeitig bremst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, da Angreifer automatisierte Werkzeuge nutzten und damit regelmäßig Schwachstellen in verborgenen Systemen fänden.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo